phobos勒索软件样本分析学习

最新推荐文章于 2025-11-02 06:46:40 发布
原创 最新推荐文章于 2025-11-02 06:46:40 发布 · 1k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#威胁分析 #学习

样本基本信息 基本信息: 文件大小:61kb MD5:ca52ef8f80a99a01e97dc8cf7d3f5487 文件类型:exe 病毒家族:Phobos 基础分析-持久化 该勒索软件带有加密配置,可以使用硬编码的AES…
样本基本信息
在这里插入图片描述
基本信息:

文件大小:61kb
MD5:ca52ef8f80a99a01e97dc8cf7d3f5487
文件类型:exe
病毒家族:Phobos
基础分析-持久化
在这里插入图片描述
该勒索软件带有加密配置,可以使用硬编码的AES密钥解密,加密逻辑在sub_4062A6中。
在这里插入图片描述
该勒索软件自定义实现的AES加密算法,不需要依赖WIndows API。
在这里插入图片描述
回到入口,该勒索软件使用GetTickCount()检索自系统启动以来经过的毫秒数:
在这里插入图片描述
GetLocaleInfoW 函数用于获取操作系统的默认语言环境 (0x800 = LOCALE_SYSTEM_DEFAULT , 0x58 = LOCALE_FONTSIGNATURE )。
在这里插入图片描述
二进制文件通过调用 GetModuleFileNameW 函数检索当前进程的可执行文件的路径,如下图:
在这里插入图片描述
调用CreateFIleW寻找一个文件(0x80000000 = GENERIC_READ,0x3 = OPEN_EXISTING)
在这里插入图片描述
接着它使用GetVersion方法提取系统的主版本号和此版本号:
在这里插入图片描述
在这里插入图片描述
如上图,还调用OpenProcessToken API打开与当前进程关联的访问令牌,之后用 GetTokenInformation验证令牌是否被提升。

最低0.47元/天 解锁文章
网络安全从入门到精通(特别篇VIII):应急响应之勒索病毒处置流程
HACKONE的博客
02-10 843
勒索病毒通常利用非对称加密算法和对称加密算法组合的形式来加密文件,绝大多数勒索病毒无法通过技术手段进行解密 必须拿到对应的解密密钥才有可能无损的还原被加密的文件。
[样本分析] TelsaCrypt勒索病毒
qq_42814021的博客
01-21 4291
文章目录样本信息样本行为详细分析线程1线程2六个功能函数线程3 样本信息 MD5:72CCC18F3038E19273010D45AC2142CE 样本类型:exe32 分析工具:DIE、OD、IDA 样本行为 详细分析 拿到样本后,老规矩,先拖到DIE中看一下,32位的exe,C/C++写的,无壳。可以直接用IDA和OD开始分析样本在WinMain函数中首先进行反沙箱检测,通过检测音频设备是否存在或API是否可用。然后做一系列的准备工作,其中比较重要的就是解密并释放数据。然后进行自拷贝,将自身拷贝到
勒索软件样本
01-24
理解软件的功能及原理,加强对系统和网络的安全意识。
样本分析 | LockBit:持续进化的勒索威胁
WangsuSecurity的博客
12-20 1612
本文旨在通过分析LockBit勒索软件的发展历程、技术特性,帮助大家提升对这一严重网络威胁的认识,并探讨可能的防御措施。通过理解LockBit及其代理的操作方式,我们可以更好地了解现代网络威胁的本质。
“WannaCry样本学习研究用途”
07-16
资源下载链接为: https://pan.quark.cn/s/d9ef5828b597 以下几种表述可供选择: “亲测有效,此为 wannacry 样本。务必在断网的虚拟机内进行测试,仅限于学习目的使用!” “wannacry 样本,经本人亲自测试,能够使用。需要在虚拟机环境下且处于断网状态开展测试,仅用于学习!” “wannacry 样本,本人亲测可以使用。提醒大家在断网的虚拟机中进行测试,仅作为学习用途!” “wannacry 样本,本人已经亲测可用。请在虚拟机且断网的环境中开展测试,仅供学习使用!” “wannacry 样本,经本人亲测可用。测试时需在虚拟机且断网环境下进行,仅供学习使用!”
针对工控的勒索软件Cring样本分析
crystalfya的博客
07-27 225
工业控制系统是国家基础设施的重要组成部分,也是工业基础设施的核心,被广泛用于炼油、化工、电力、电网、水厂、交通、水利等领域,其可用性和实时性要求高,系统生命周期长,一旦受到勒索软件的影响,不仅会导致大面积停产,也会产生更广泛的负面社会效应。创建名为“deReadMe!
勒索软件分析_勒索软件样本收集
kitsch0x97的博客
05-13 1004
LIVE、DragonForce、Tisak、MEOW LEAKS、Lambda、、Electronic、、、CiphBit、、INC Ransom、RansomedVC、Cloak、Peace Tax Agency、Metaencryptor、RA GROUP、、、Akira、Rhysida、、、Zhong、AlphaWare、EXISC、、、RTM Locker、、Money Message、Merlin、726、、Masons、DoDo、Vendetta、Medusa持续更新····
【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目
solarset的博客
12-04 1310
团队坚持自主研发及创新,在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入,目前已获得十几项专利及知识产权。团队也先后通过了ISO9001质量管理体系、ISO14000环境管理体系、ISO45001职业安全健康管理体系 、ITSS(信息技术服务运行维护标准四级)等认证,已构建了网络安全行业合格的资质体系;
【病毒分析phobos家族2700变种加密器分析报告
solarset的博客
11-12 1007
团队坚持自主研发及创新,在攻防演练平台、网络安全竞赛平台、网络安全学习平台方面加大研发投入,目前已获得十几项专利及知识产权。团队也先后通过了ISO9001质量管理体系、ISO14000环境管理体系、ISO45001职业安全健康管理体系 、ITSS(信息技术服务运行维护标准四级)等认证,已构建了网络安全行业合格的资质体系;
34、勒索软件威胁、识别与预防
最新发布
p5l2m9n4o6q的博客
11-02 16
本文详细介绍了勒索软件的常见类型、生命周期、检测与分析方法、预防策略及其核心特征。涵盖Windows和MAC平台上的主流勒索软件如Ryuk、LockBit、REvil、KeRanger等,解析其传播方式、加密机制及行为特征。文章还阐述了基于静态与动态分析的技术手段,提出UNEVIL、WRDP等检测框架,并总结了访问控制、诱捕攻击者等防御措施。通过全面剖析勒索软件的行为模式与技术演进,帮助用户提升安全意识,构建有效防护体系,避免数据丢失与经济损失。
VirusTotal 共享8000万勒索软件样本分析数据库
smellycat000的专栏
10-15 1073
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士谷歌VirusTotal 扫描服务提供商指出,在2020年和2021年上半年活跃的勒索软件家族至少有130个。该公司分析了全球140个国...
病毒样本提取工具
07-31
病毒样本提取工具
WannaCry、CTB-Locker、Cerber样本
03-02
资源中是WannaCry、CTB-Locker、Cerber样本,解压后将后缀名改为exe即可运行,一定要在虚拟机中运行,且虚拟机一定要与宿主机隔离、必须断网,否则会造成不可逆转的损失。 若在使用本资源时造成损失,本人概不负责; 若在使用本资源时造成损失,本人概不负责; 若在使用本资源时造成损失,本人概不负责。
ocky勒索软件恶意样本分析1
weixin_30301449的博客
04-20 290
locky勒索软件恶意样本分析1 1 locky勒索软件构成概述 前些时期爆发的Locky勒索软件病毒这边也拿到了一个样本,简要做如下分析样本主要包含三个程序: A xx.js文件:Jscript脚本文件,以脚本形式存在主要用于邮件传播和方便免杀杀毒软件,用于联网下载PE1 B PE程序(PE1):外壳程序,主要负责解密内存load PE2。 C PE程序(PE2):功能代码存在于...
Wannacry勒索病毒样本分析
谈成(C/C++)
05-14 1万+
一、病毒简介: WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播 。勒索病毒肆虐,俨然是一场全球性互联网灾难,给广大电脑用户造成了巨大损失。最新统计数据显示,100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。勒索病毒是自熊猫烧香以来影响力最大的病毒之一。WannaCry勒索病毒全球大爆发,至少15
勒索软件相关资料
feixi7358的博客
03-01 559
勒索软件样本下载平台: https://www.hybrid-analysis.com/ https://www.virustotal.com/#/home/search https://virusshare.com/ 卡饭论坛 、看雪论坛 http://www.malware-traffic-analysis.net/ 勒索软件后缀名信息 后缀名、每5分钟更新一次 综合性的...
病毒下载 病毒样本
热门推荐
黑色雨滴
12-03 2万+
  简介:A-Z开头病毒样本打包下载,压缩文件内约7159个文件,约3573个病毒!看看各种杀毒软件能查出几个。验证一下查杀病毒的真正能力吧。仅供研究之用! 压缩包里面全部是病毒程序,千万不要解压运行。用你的杀毒软件查这个压缩包,如果查出的病毒数少于3542个的话,你还是换换杀毒软件吧。...
勒索软件样本资源下载介绍
gitblog_06742的博客
05-03 370
勒索软件样本资源下载介绍 【下载地址】勒索软件样本资源下载介绍 本项目提供勒索软件样本资源,旨在帮助用户深入理解勒索软件的运作机制、传播方式及加密技术,从而提升网络安全防护意识。通过研究这些样本,用户不仅可以学习其工作原理,还能掌握有效的防御策略,保护个人和企业数据安全。资源仅供学习研究使用,严禁非法用途。请在使用过程中...
盘盘那些牛逼的勒索病毒(附样本
Peter_FHC的博客
01-15 7733
盘点那些比较牛的勒索病毒
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值